bencede
New member
Enerji, ulaştırma, su, finans ve sigorta, medya, hükümet, sağlık hizmetlerinin yanı sıra BT ve telekomünikasyon sektörlerini içeren kritik altyapı operatörleri için Siber Güvenlik Yasaları 1.0 ve 2.0 kapsamındaki özel gereklilikler geçerlidir. Örneğin, raporlama ve sertifikasyon yükümlülüklerinin yanı sıra minimum standartların da karşılanması ve BT güvenliği kavramlarının sunulması ve sürdürülmesi gerekir.
Duyuru
Mevzuata uygunluk söz konusu olduğunda, bu şirketler büyüklüklerine bağlı olarak değişen ilerlemeler kaydediyor ve bazı durumlarda henüz önemli ölçüde yetişemiyorlar. Federal Bilgi Güvenliği Dairesi’nin (BSI) Federal İçişleri Bakanlığı adına Pazar ve Kamuoyu Araştırmaları Bilgi Enstitüsü ile işbirliği içinde yürüttüğü bir anketten çıkan sonuç budur.
Gönüllü anket
Araştırma çalışmasının amacı, Kritis operatörlerine yönelik yasal önlemlerin etkinliğini belirlemekti. 21 Şubat – 10 Mart 2023 arasındaki dönemde çevrimiçi bir ankete katılma fırsatı buldular. Genel olarak davet edilen operatörlerin %45’inden fazlası yanıt verdi; BSI’ye göre bu, katılımın gönüllü doğası göz önüne alındığında bir başarıdır.
Bonn yetkilisi, Nisan ortasına kadar uzanan bulgu raporunu Pazartesi günü yayınladı. Bu nedenle katılımcıların çoğunluğu için teknik güvenlik önlemlerinin uygulanması oldukça ileri düzeydedir. Bu, özellikle “henüz bireysel durumlarda uygulanmayan” sanal özel ağların (VPN’ler) ve erişim kontrollerinin kullanımı için geçerlidir. Şirketler, kurumsal güvenlik önlemlerinin uygulanması konusunda biraz daha geride kalıyor. Araştırmaya göre en büyük boşluklar güvenli belgelerin oluşturulması ve güvenlik operasyonlarının başlatılmasında bulunuyor. İkincisi için genellikle uzmanlardan oluşan bir ekibin siber güvenlik olaylarını günün her saatinde izlediği, tespit ettiği, analiz ettiği ve çözdüğü bir merkezin kurulması gerekir.
Araştırmaya göre, şirketteki mevcut bilgi düzeyinin korunması ve çalışanların eğitilmesi ve bilinçlendirilmesi amacıyla organizasyonel alanda her düzeyde önlemler uygulamaya konuldu. Halihazırda Enerji Endüstrisi Yasası (EnWG) veya Telekomünikasyon Yasası’nın (TKG) ek gereklilikleri kapsamına girmeyen Kritis operatörlerinin çoğu, genellikle iki BT güvenlik yasasına oldukça aşinadır. Büyük işletmelerin BT mevzuatına çok aşina olduklarını söyleme olasılıkları küçük ve orta ölçekli işletmelere (KOBİ’ler) göre çok daha fazladır.
EnWG ve TKG operatörleri, teknik önlemlerin uygulanması konusunda diğer Kritis şirketlerine göre hafif bir avantaja, organizasyonel önlemlerin uygulamaya konulması konusunda ise açık bir avantaja sahip. Yasal gerekliliklerin tam olarak uygulanmamasının ana nedeni, her şeyden önce personel ve para eksikliğidir. Özellikle yasalara az ya da orta derecede aşina olan KOBİ’ler ve şirketler de zaman yetersizliğinden ve değişikliklerin kısa sürede yapılmasından şikayetçi.
Düşük güvenlik bütçesi
Her ne kadar on şirketten altısı son iki yılda bu bütçeyi artırmış olsa da çoğu operatör BT güvenlik bütçesinin yetersiz olduğunu düşünüyor: Üç şirketten yalnızca biri toplam operasyonel BT bütçesindeki payının (ortalama %14) yeterli olduğuna inanıyor . Büyük şirketlere göre biraz daha yüksek yüzdeye sahip olan KOBİ’ler memnuniyetlerini daha sık ifade ediyor.
On şirketten yedisi, özellikle de büyük şirketler, şu anda artan bir siber tehdit durumu algıladıklarını söylüyor. Belirtilen ana nedenler arasında Rusya’nın Ukrayna’ya karşı saldırganlık savaşı ve jeopolitik durumun yanı sıra Kritis operatörlerine yönelik artan ve hedefli siber saldırılar yer alıyor. EnWG/TKG şirketleri, diğer sektörlerdeki şirketlere kıyasla daha sık artan BT riski durumunu gözlemliyor. Son iki yılda etkilenen kurumların çoğu, özellikle BT sistemlerine yönelik siber saldırıların daha sık olması nedeniyle artan bir risk durumuyla karşı karşıya kaldı. Bu genellikle e-posta eklerindeki kimlik avı ve kötü amaçlı yazılımdır.
Siber saldırılara maruz kalan şirketlerin üçte ikisi maddi hasara uğradı. Şirketler bu rakamın ortalama 157.000 avro, KOBİ’lerin ise 71.000 avro olduğunu tahmin ediyor. Maliyetler esas olarak hizmet sağlayıcıların devreye alınmasından, sistemlerin onarılmasından ve operasyonel arızalardan kaynaklanmaktadır. Ekonomik zararın çoğu insan için pek önemi yoktu, ancak hiçbir durumda onların varlığını tehdit etmedi.
Hemen hemen tüm şirketler BT güvenliği olaylarını genellikle dahili bir sistemde düzenli olarak belgelemektedir. Katılımcılar, olay raporlama konusunda açık ara en önemli alıcının BSI olduğunu belirtti. İşbirliği yapılan firmalar, diğer otoriteler, müşteriler ve tedarikçiler de daha sık bilgilendirilmektedir.
Güvenlik açıklarının kapatılması farklı hızlarda gerçekleşir: KOBİ’lerin hemen harekete geçme olasılığı daha yüksekken, büyük işletmelerin risk değerlendirmesinin bir parçası olarak önceliklendirmeye göre hareket etme olasılığı daha yüksektir. Katılımcılar, siber güvenlik yasalarının en yaygın etkilerini belgeleme ve test etme çabalarının artması, güvenlik sistemlerinin geliştirilmesi ve bazı durumlarda daha erken yeni önlemlerin uygulamaya konulması olarak gösterdi. Ek görevler ekonominin hiçbir yerinde iyi karşılanmadı. Örneğin Berliner Verkehrsbetriebe (BVG), uzun bir süre boyunca kendisini BSI ve Siber Güvenlik Yasası anlamında bir kriz hizmeti sağlayıcısı olarak görmüyordu. Ancak 2021’de pes ettiler ve BSI’ya 22 küçük BT güvenlik sorununu ve ciddi bir organizasyonel kontrol boşluğunu içeren bir eksiklikler listesi gönderdiler.
(olb)
Haberin Sonu
Duyuru
Mevzuata uygunluk söz konusu olduğunda, bu şirketler büyüklüklerine bağlı olarak değişen ilerlemeler kaydediyor ve bazı durumlarda henüz önemli ölçüde yetişemiyorlar. Federal Bilgi Güvenliği Dairesi’nin (BSI) Federal İçişleri Bakanlığı adına Pazar ve Kamuoyu Araştırmaları Bilgi Enstitüsü ile işbirliği içinde yürüttüğü bir anketten çıkan sonuç budur.
Gönüllü anket
Araştırma çalışmasının amacı, Kritis operatörlerine yönelik yasal önlemlerin etkinliğini belirlemekti. 21 Şubat – 10 Mart 2023 arasındaki dönemde çevrimiçi bir ankete katılma fırsatı buldular. Genel olarak davet edilen operatörlerin %45’inden fazlası yanıt verdi; BSI’ye göre bu, katılımın gönüllü doğası göz önüne alındığında bir başarıdır.
Bonn yetkilisi, Nisan ortasına kadar uzanan bulgu raporunu Pazartesi günü yayınladı. Bu nedenle katılımcıların çoğunluğu için teknik güvenlik önlemlerinin uygulanması oldukça ileri düzeydedir. Bu, özellikle “henüz bireysel durumlarda uygulanmayan” sanal özel ağların (VPN’ler) ve erişim kontrollerinin kullanımı için geçerlidir. Şirketler, kurumsal güvenlik önlemlerinin uygulanması konusunda biraz daha geride kalıyor. Araştırmaya göre en büyük boşluklar güvenli belgelerin oluşturulması ve güvenlik operasyonlarının başlatılmasında bulunuyor. İkincisi için genellikle uzmanlardan oluşan bir ekibin siber güvenlik olaylarını günün her saatinde izlediği, tespit ettiği, analiz ettiği ve çözdüğü bir merkezin kurulması gerekir.
Araştırmaya göre, şirketteki mevcut bilgi düzeyinin korunması ve çalışanların eğitilmesi ve bilinçlendirilmesi amacıyla organizasyonel alanda her düzeyde önlemler uygulamaya konuldu. Halihazırda Enerji Endüstrisi Yasası (EnWG) veya Telekomünikasyon Yasası’nın (TKG) ek gereklilikleri kapsamına girmeyen Kritis operatörlerinin çoğu, genellikle iki BT güvenlik yasasına oldukça aşinadır. Büyük işletmelerin BT mevzuatına çok aşina olduklarını söyleme olasılıkları küçük ve orta ölçekli işletmelere (KOBİ’ler) göre çok daha fazladır.
EnWG ve TKG operatörleri, teknik önlemlerin uygulanması konusunda diğer Kritis şirketlerine göre hafif bir avantaja, organizasyonel önlemlerin uygulamaya konulması konusunda ise açık bir avantaja sahip. Yasal gerekliliklerin tam olarak uygulanmamasının ana nedeni, her şeyden önce personel ve para eksikliğidir. Özellikle yasalara az ya da orta derecede aşina olan KOBİ’ler ve şirketler de zaman yetersizliğinden ve değişikliklerin kısa sürede yapılmasından şikayetçi.
Düşük güvenlik bütçesi
Her ne kadar on şirketten altısı son iki yılda bu bütçeyi artırmış olsa da çoğu operatör BT güvenlik bütçesinin yetersiz olduğunu düşünüyor: Üç şirketten yalnızca biri toplam operasyonel BT bütçesindeki payının (ortalama %14) yeterli olduğuna inanıyor . Büyük şirketlere göre biraz daha yüksek yüzdeye sahip olan KOBİ’ler memnuniyetlerini daha sık ifade ediyor.
On şirketten yedisi, özellikle de büyük şirketler, şu anda artan bir siber tehdit durumu algıladıklarını söylüyor. Belirtilen ana nedenler arasında Rusya’nın Ukrayna’ya karşı saldırganlık savaşı ve jeopolitik durumun yanı sıra Kritis operatörlerine yönelik artan ve hedefli siber saldırılar yer alıyor. EnWG/TKG şirketleri, diğer sektörlerdeki şirketlere kıyasla daha sık artan BT riski durumunu gözlemliyor. Son iki yılda etkilenen kurumların çoğu, özellikle BT sistemlerine yönelik siber saldırıların daha sık olması nedeniyle artan bir risk durumuyla karşı karşıya kaldı. Bu genellikle e-posta eklerindeki kimlik avı ve kötü amaçlı yazılımdır.
Siber saldırılara maruz kalan şirketlerin üçte ikisi maddi hasara uğradı. Şirketler bu rakamın ortalama 157.000 avro, KOBİ’lerin ise 71.000 avro olduğunu tahmin ediyor. Maliyetler esas olarak hizmet sağlayıcıların devreye alınmasından, sistemlerin onarılmasından ve operasyonel arızalardan kaynaklanmaktadır. Ekonomik zararın çoğu insan için pek önemi yoktu, ancak hiçbir durumda onların varlığını tehdit etmedi.
Hemen hemen tüm şirketler BT güvenliği olaylarını genellikle dahili bir sistemde düzenli olarak belgelemektedir. Katılımcılar, olay raporlama konusunda açık ara en önemli alıcının BSI olduğunu belirtti. İşbirliği yapılan firmalar, diğer otoriteler, müşteriler ve tedarikçiler de daha sık bilgilendirilmektedir.
Güvenlik açıklarının kapatılması farklı hızlarda gerçekleşir: KOBİ’lerin hemen harekete geçme olasılığı daha yüksekken, büyük işletmelerin risk değerlendirmesinin bir parçası olarak önceliklendirmeye göre hareket etme olasılığı daha yüksektir. Katılımcılar, siber güvenlik yasalarının en yaygın etkilerini belgeleme ve test etme çabalarının artması, güvenlik sistemlerinin geliştirilmesi ve bazı durumlarda daha erken yeni önlemlerin uygulamaya konulması olarak gösterdi. Ek görevler ekonominin hiçbir yerinde iyi karşılanmadı. Örneğin Berliner Verkehrsbetriebe (BVG), uzun bir süre boyunca kendisini BSI ve Siber Güvenlik Yasası anlamında bir kriz hizmeti sağlayıcısı olarak görmüyordu. Ancak 2021’de pes ettiler ve BSI’ya 22 küçük BT güvenlik sorununu ve ciddi bir organizasyonel kontrol boşluğunu içeren bir eksiklikler listesi gönderdiler.
(olb)
Haberin Sonu